Partager via


Configurer une architecture multilocataire dans Azure Stack Hub

Vous pouvez configurer Azure Stack Hub pour prendre en charge les connexions à partir d’utilisateurs qui résident dans d’autres répertoires Microsoft Entra, ce qui leur permet d’utiliser des services dans Azure Stack Hub. Ces répertoires ont une relation « invité » avec votre annuaire Azure Stack Hub et sont considérés comme des locataires Microsoft Entra invités.

Considérons par exemple ce scénario :

  • Vous êtes l’administrateur de service de contoso.onmicrosoft.com, le locataire Microsoft Entra à domicile qui fournit des services de gestion des identités et des accès à Azure Stack Hub.
  • Mary est l’administrateur d’annuaire de adatum.onmicrosoft.com, le locataire Microsoft Entra invité où se trouvent les utilisateurs invités.
  • La société de Marie (Adatum) utilise les services IaaS et PaaS de votre entreprise. Adatum souhaite autoriser les utilisateurs de l’annuaire invité (adatum.onmicrosoft.com) à se connecter et à utiliser les ressources Azure Stack Hub sécurisées par contoso.onmicrosoft.com.

Ce guide décrit les étapes requises dans le cadre de ce scénario afin d’activer ou de désactiver la mutualisation dans Azure Stack Hub pour un locataire d’annuaire invité. Marie et vous accomplissez ce processus en inscrivant ou désinscrivant le locataire d’annuaire invité, ce qui a pour effet d’activer ou de désactiver les connexions Azure Stack Hub et la consommation du service par les utilisateurs d’Adatum.

Si vous êtes un fournisseur de solutions cloud (CSP), d’autres méthodes s’offrent à vous pour configurer et gérer une architecture multitenant dans Azure Stack Hub.

Prérequis

Avant d’inscrire ou de désinscrire un annuaire invité, vous et Mary devez effectuer des étapes administratives pour vos locataires Microsoft Entra respectifs : le répertoire d’accueil Azure Stack Hub (Contoso) et l’annuaire invité (Adatum) :

Inscrire un annuaire invité

Pour inscrire un annuaire invité afin de créer une architecture multilocataire, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité.

Configurer l’annuaire Azure Stack Hub

En tant qu’administrateur de service de contoso.onmicrosoft.com, vous devez commencer par intégrer le locataire d’annuaire invité d’Adatum à Azure Stack Hub. Le script suivant configure Azure Resource Manager pour accepter les connexions d’utilisateurs et de principaux de service dans le locataire adatum.onmicrosoft.com :

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurer l’annuaire invité

Ensuite, Marie (l’administratrice d’annuaire d’Adatum) doit inscrire Azure Stack Hub auprès de l’annuaire invité adatum.onmicrosoft.com en exécutant le script suivant :

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Important

Si votre administrateur Azure Stack Hub installe des mises à jour ou de nouveaux services à l’avenir, vous devrez peut-être réexécuter ce script.

Faites-le à tout moment pour vérifier l’état des applications Azure Stack Hub dans votre annuaire.

Si vous rencontrez des problèmes lors de la création de machines virtuelles dans la fonctionnalité Disques managés (une nouvelle fonctionnalité disponible dans la mise à jour 1808), sachez qu’un nouveau fournisseur de ressources de disque a été ajouté, ce qui nécessite la réexécution de ce script.

Inviter les utilisateurs à se connecter

Enfin, Mary peut inviter les utilisateurs Adatum disposant de comptes @adatum.onmicrosoft.com à se connecter en visitant le portail utilisateur Azure Stack Hub. Pour les systèmes à plusieurs nœuds, l’URL du portail utilisateur est au format https://portal.<region>.<FQDN>. Pour un déploiement d’ASDK, l’URL est https://portal.local.azurestack.external.

Marie doit également inviter les principaux étrangers (utilisateurs dans l’annuaire d’Adatum sans le suffixe adatum.onmicrosoft.com) à se connecter à l’aide de https://<user-portal-url>/adatum.onmicrosoft.com. S’ils ne spécifient pas l’annuaire de locataire /adatum.onmicrosoft.com dans l’URL, ils sont dirigés vers l’annuaire par défaut et reçoivent une erreur indiquant que leur administrateur n’a pas donné son consentement.

Désinscrire un annuaire invité

Si vous ne souhaitez plus autoriser les connexions aux services Azure Stack Hub à partir d’un locataire d’annuaire invité, vous pouvez désinscrire l’annuaire. Une fois encore, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité :

  1. En tant qu’administrateur du répertoire invité (Mary dans ce scénario), exécutez Unregister-AzsWithMyDirectoryTenant. L’applet de commande désinstalle toutes les applications Azure Stack Hub du nouvel annuaire.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. En tant qu’administrateur de service d’Azure Stack Hub (vous dans ce scénario), exécutez l’applet de commande Unregister-AzSGuestDirectoryTenant :

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Avertissement

    Les étapes de désactivation d’une architecture multilocataire doivent être effectuées dans l’ordre. L’étape 1 échoue si l’étape 2 est terminée en premier.

Récupérer le rapport d’intégrité des identités Azure Stack Hub

Remplacez les espaces réservés <region>, <domain> et <homeDirectoryTenant>, puis exécutez l’applet de commande suivante en tant qu’administrateur Azure Stack Hub.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Mettre à jour les autorisations du locataire Microsoft Entra

Cette action désactive une alerte dans Azure Stack Hub, indiquant qu’un annuaire a besoin d’une mise à jour. Exécutez la commande suivante à partir du dossier Azurestack-tools-master/identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Le script vous invite à entrer des informations d’identification d’administration sur le locataire Microsoft Entra, et prend plusieurs minutes pour s’exécuter. L’alerte est désactivée après l’exécution de la cmdlet.

La gestion basée sur le portail n’est pas prise en charge pour cette version

La gestion de l’architecture multilocataire à l’aide du portail administrateur est uniquement disponible pour les versions 2102 et ultérieures. Sélectionnez une version ultérieure à l’aide du sélecteur dans la partie supérieure gauche de la page.

Inscrire un annuaire invité

Pour inscrire un annuaire invité afin de créer une architecture multilocataire, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité.

Configurer l’annuaire Azure Stack Hub

La première étape consiste à faire en sorte que votre système Azure Stack Hub détecte l’annuaire invité. Dans cet exemple, l’annuaire de l’entreprise de Marie, Adatum, est appelé adatum.onmicrosoft.com.

  1. Connectez-vous au portail d’administration Azure Stack Hub et accédez à Tous les services – Annuaires.

    Capture d’écran montrant la liste des annuaires.

  2. Sélectionnez Ajouter pour commencer le processus d’intégration. Entrez le nom de l’annuaire invité « adatum.onmicrosoft.com », puis sélectionnez Ajouter.

    Capture d’écran montrant comment ajouter un nouvel annuaire.

  3. L’annuaire invité apparaît dans la liste, avec l’état unregistered (non inscrit).

    Capture d’écran montrant le nouvel annuaire invité ayant l’état « unregistered » (« non inscrit »).

  4. Seule Marie dispose des informations d’identification pour s’authentifier auprès de l’annuaire invité. Vous devez donc lui envoyer le lien pour terminer l’inscription. Activez la case à cocher en regard de adatum.onmicrosoft.com, puis sélectionnez Register (Inscrire).

    Capture d’écran montrant la sélection d’un annuaire pour l’inscription.

  5. Un nouvel onglet du navigateur s’ouvre. En bas de la page, sélectionnez Copy link (Copier le lien), puis fournissez-le à Marie.

  6. Si vous disposez des informations d’identification de l’annuaire invité, vous pouvez effectuer vous-même l’inscription en sélectionnant Sign in (Se connecter).

    Capture d’écran montrant la sélection de l’option de connexion.

Configurer l’annuaire invité

Marie a reçu l’e-mail contenant le lien pour inscrire l’annuaire. Elle ouvre le lien dans un navigateur et confirme l’ID Microsoft Entra et le point de terminaison Azure Resource Manager de votre système Azure Stack Hub.

  1. Mary se connecte à l’aide de ses informations d’identification d’administrateur pour adatum.onmicrosoft.com.

    Remarque

    Avant de vous connecter, vérifiez que vos bloqueurs de fenêtres publicitaires sont désactivés.

    Capture d’écran montrant l’option de connexion pour gérer un annuaire.

  2. Marie examine l’état de l’annuaire et constate qu’il n’est pas inscrit.

    Capture d’écran montrant un annuaire non inscrit.

  3. Marie sélectionne Register (Inscrire) pour démarrer le processus.

    Remarque

    Il est possible que vous ne puissiez pas créer les objets requis pour Visual Studio Code et que vous deviez utiliser PowerShell.

    Capture d’écran montrant le début de l’inscription de l’annuaire.

  4. Une fois le processus d’inscription terminé, Marie peut passer en revue toutes les applications qui ont été créées dans l’annuaire et vérifier leur état.

    Capture d’écran d’un annuaire inscrit.

  5. Marie a terminé le processus d’inscription, qui a réussi. Elle peut à présent inviter les utilisateurs d’Adatum dotés de comptes @adatum.onmicrosoft.com à se connecter en passant par le portail utilisateur Azure Stack Hub. Pour les systèmes à plusieurs nœuds, l’URL du portail utilisateur est au format https://portal.<region>.<FQDN>. Pour un déploiement d’ASDK, l’URL est https://portal.local.azurestack.external.

Important

La mise à jour de l’état de l’annuaire dans le portail d’administration peut prendre jusqu’à une heure. Passé ce délai, l’opérateur Azure Stack devrait pouvoir la constater.

Marie doit également inviter les principaux étrangers (utilisateurs dans l’annuaire d’Adatum sans le suffixe adatum.onmicrosoft.com) à se connecter à l’aide de https://<user-portal-url>/adatum.onmicrosoft.com. S’ils ne spécifient pas l’annuaire de locataire /adatum.onmicrosoft.com dans l’URL, ils sont dirigés vers l’annuaire par défaut et reçoivent une erreur indiquant que leur administrateur n’a pas donné son consentement.

Désinscrire un annuaire invité

Si vous ne souhaitez plus autoriser les connexions aux services Azure Stack Hub à partir d’un locataire d’annuaire invité, vous pouvez désinscrire l’annuaire. Une fois encore, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité :

Configurer l’annuaire invité

Marie n’utilise plus certains services sur Azure Stack Hub et doit supprimer les objets associés. Elle ouvre à nouveau l’URL reçue par e-mail pour annuler l’inscription de l’annuaire. Avant de commencer ce processus, Marie supprime toutes les ressources de l’abonnement Azure Stack Hub.

  1. Mary se connecte à l’aide de ses informations d’identification d’administrateur pour adatum.onmicrosoft.com.

    Remarque

    Avant de vous connecter, vérifiez que vos bloqueurs de fenêtres publicitaires sont désactivés.

    Capture d’écran montrant l’option de connexion sélectionnée.

  2. Marie voit l’état de l’annuaire.

    Capture d’écran d’un annuaire inscrit.

  3. Marie sélectionne Unregister (Désinscrire) pour démarrer l’action.

    Capture d’écran montrant l’option Unregister (Désinscrire) à sélectionner pour annuler l’inscription d’un annuaire.

  4. Une fois le processus terminé, l’état indiqué est Not registered (Non inscrit) :

    Capture d’écran montrant un annuaire dont l’inscription a été annulée.

    Marie a correctement annulé l’inscription de l’annuaire adatum.onmicrosoft.com.

    Remarque

    L’actualisation de l’état de l’annuaire dans le portail d’administration Azure Stack peut prendre jusqu’à une heure.

Configurer l’annuaire Azure Stack Hub

En tant qu’opérateur Azure Stack Hub, vous pouvez supprimer l’annuaire invité à tout moment, même si Marie n’a pas déjà annulé l’inscription de l’annuaire.

  1. Connectez-vous au portail d’administration Azure Stack Hub et accédez à Tous les services – Annuaires.

    Capture d’écran montrant tous les annuaires.

  2. Activez la case à cocher en regard de adatum.onmicrosoft.com, puis sélectionnez Remove (Supprimer).

    Capture d’écran montrant l’option Remove (Supprimer) à sélectionner pour supprimer un annuaire.

  3. Confirmez l’action de suppression en tapant yes (ou « oui » si vous utilisez une interface en français), puis sélectionnez Remove (Supprimer).

    Capture d’écran montrant comment supprimer un annuaire.

    Vous avez correctement supprimé l’annuaire.

Gestion des mises à jour requises

Les mises à jour Azure Stack Hub peuvent introduire la prise en charge de nouveaux outils ou services qui peuvent nécessiter une mise à jour de l’annuaire de base ou de l’annuaire invité.

En tant qu’opérateur Azure Stack Hub, vous recevez une alerte dans le portail d’administration qui vous informe qu’une mise à jour d’annuaire est requise. Vous pouvez également déterminer si une mise à jour est requise pour les annuaires de base ou invités en consultant le volet Annuaires du portail d’administration. Chaque liste d’annuaires affiche le type de chaque annuaire. Ces types peuvent être « Home » (« De base ») ou « Guest » (« Invité »).

Mettre à jour les annuaires Azure Stack Hub

Lorsqu’une mise à jour d’annuaire Azure Stack Hub est requise, l’état Update Required (Mise à jour requise) est indiqué. Par exemple :

Capture d’écran montrant un annuaire pour lequel une mise à jour est requise.

Pour mettre à jour l’annuaire, activez la case à cocher en regard de Directory name (Nom de l’annuaire), puis sélectionnez Update (Mettre à jour).

Mettre à jour l’annuaire invité

En tant qu’opérateur Azure Stack Hub, vous devez aussi informer le propriétaire de l’annuaire invité qu’il doit mettre à jour son annuaire à l’aide de l’URL partagée pour l’inscription. L’opérateur peut renvoyer l’URL, mais elle ne change pas.

Marie, la propriétaire de l’annuaire invité, ouvre l’URL qu’elle a reçue par e-mail lorsqu’elle a inscrit l’annuaire :

  1. Mary se connecte à l’aide de ses informations d’identification d’administrateur pour adatum.onmicrosoft.com. Avant de vous connecter, vérifiez que vos bloqueurs de fenêtres publicitaires sont désactivés.

    Capture d’écran montrant l’option de connexion sélectionnée.

  2. Marie voit l’état de l’annuaire indiquant qu’une mise à jour est requise.

  3. L’action Update (Mettre à jour) est disponible pour Marie. Elle peut la sélectionner pour mettre à jour l’annuaire invité. L’actualisation de l’état de l’annuaire dans le portail d’administration Azure Stack peut prendre jusqu’à une heure.

Fonctionnalités supplémentaires

Un opérateur Azure Stack Hub peut afficher les abonnements associés à un annuaire. En outre, une action permettant de gérer chaque annuaire directement dans le portail Azure est disponible. Pour effectuer une telle gestion, l’annuaire cible doit disposer d’autorisations de gestion dans le portail Azure.

Étapes suivantes